教育信息化平台建设项目需求方案

教育信息化平台建设项目需求方案一、项目概述 本项目为学院教育信息化平台建设项目，随着我校数据中心的建设，各类应用逐步增加，针对我校教室，继续接入专网满足日常教学需要。同时由于专网的特殊性要求，必须做好专网网络、数据安全和专网主机管控，针对性对学校校园网基础环境的薄弱环节进行改造。基于现有学校的基础环境，结合等级保护、网络信息安全和互联网+教育的新要求，着力提升教学、管理、服务水平，针对性对基础环境和网络安全的薄弱环节进行改造。二、建设目标针对目前教学教室和校园网的情况，考虑进教室、安全防护建设，采购网络和安全设备，提高建设的基础设施，加强对数据中心安全的管理，为教学环境提供必要的支撑和安全环境。对两校区教室区域，从光纤线路-核心交换机-汇聚接入交换设备-入室网线-信息点独立部署（每个教室两个信息点），组建万兆到接入，千兆到桌面的基础网络。在网络接入侧采用安全交换机和安全控制平台，在网络出口和数据中心部署防火墙、数据库审计、态势感知和安全探针，加强我校安全环境的必要建设，同时针对教室无线进行必要的改造。让教学环境进入教学教室的同时，完善专网的安全建设。教育信息化平台建设原则建立在重点考虑学校使用需求的基础上，力求满足整个教育信息化平台的可靠性、先进性、实用性、可兼容及扩展性，以及网络数据安全可追溯性。三、设备清单序号品名单位数量1核心交换机（核心产品）台12汇聚交换机台33安全交换机台104安全交换机控制平台套15KVM切换器套1086管理软件授权套17安全态势感知平台套18安全探针套19出口防火墙套210数据库审计台111监控网核心交换机台112潜伏探针套113无线控制器台114无线接入点台6015POE交换机台516集成服务套1四、技术要求4.1.核心交换机技术指标功能指标技术要求产品架构采用CLOS多级多平面架构，支持独立的交换网板。业务插槽业务插槽数≥4空间要求机箱高度≤8RU交换容量≥28Tbps整机包转发能力≥3800Mpps主控引擎主控引擎模块≥2，满足1+1冗余，主控槽位与业务线卡槽位宽度相同的全宽槽位，提供更好的扩展性和可靠性。关键部件热插拔主控引擎、电源、接口模块、风扇、交换网板等关键部件可热插拔。接口要求以太网支持千兆电口，千兆光口，万兆光口、万兆电口、25G端口、40G端口、100G端口。支持单槽位万兆端口密度≥48。支持单槽位万兆电端口密度≥24。支持单槽位40G端口密度≥32。支持单槽位100G端口密度≥16。链路聚合支持跨设备链路聚合。支持对广播、组播、单播报文的均匀分担。支持链路聚合+ECMP情况也可以对报文均匀分担，即等价路由的链路是由聚合链路组成情况下的报文分担。ACL支持双向ACL。支持端口ACL。支持VLANACL。可靠性双引擎快速倒换，主备切换时候板内转发无丢包。支持NSF/GRforOSFP/BGP/IS-IS。支持热补丁功能，可在线进行补丁升级。MACMAC表≥288K。MAC表≥1M，学习速率≥130K/S。路由表路由表≥256K。IPv4FIB表项≥3M，IPv6FIB表项≥1M。ARPARP表≥170K。ARP表≥180K，学习速率≥1.1K/S。虚拟化多虚一技术(N:1)，支持4框虚拟化技术。一虚多技术（1:N）。支持多虚一技术和一虚多技术的配合使用。网络安全一体化支持安全业务插卡FW、IPS、NSM、ACG、LB。SDN/OPENFLOW支持OPENFLOW1.3，支持普通模式和Openflow模式切换。支持多控制器（EQUAL模式、主备模式）。支持多表流水线。支持Grouptable。支持Meter。VxLAN支持VxLAN网关。高可用性支持与我校现网核心交换机S10500实现虚拟化组网（多虚一），形成一台纵向逻辑虚拟设备，以达到扩展I/O端口能力和进行集中控制管理的目的，同时消除了单点故障，避免了业务中断。安全特性支持DHCPSnooping支持ARP防攻击支持IPSourceGuard支持CoPP支持广播风暴抑制支持EAD支持端口隔离支持IP+MAC+VLAN+PORT的绑定管理特性支持Console/AUX/Telnet/SSH2.0。能直接被学校现有iMC网管软件统一管理、软件升级、配置的统一下发和基准化。支持SNMPv1/v2。支持SNMPv3。支持端口镜像。支持VLAN镜像。NAS支持802.1x支持mac认证支持Portal支持本地认证支持Radius认证配置要求≥双主控；双交换网板，双电源冗余；≥2*16端口万兆以太网光接口模块(SFP+)；≥32个原厂SFP+单模模块。其他要求对核心设备的实施和调试。对接临安校区，进行联调。对我校两校区现有接入/汇聚交换机，调试勒索病毒高危端口135、137、138、139、445、3389阻断策略等工作联调。4.2.汇聚交换机技术指标功能指标技术要求机型三层交换机；交换容量≥1.28Tbps；包转发率≥720Mpps；虚拟化特性支持9台物理设备虚拟化为一台逻辑设备；支持本地堆叠和远程堆叠；接口要求可用万兆光口≥24；40G光口≥2个；扩展能力支持≥2个扩展插槽，可配置万兆光接口板、40G接口板；模块要求每台配备2块原厂万兆单模模块(1310nm,10km,LC)；多业务特性支持扩展硬件防火墙插卡，可选配IPS、防病毒等功能授权；VLAN数量≥4K；支持QINQ；风扇模块化双风扇，前/后通风，风道可调；电源模块化双电源；VxLAN支持VxLAN二层网关；支持VxLAN三层网关；路由特性支持静态路由；支持RIPv1/v2，RIPng；支持OSPFv1/v2，OSPFv3；支持BGP4，BGP4+forIPv6；支持IS-IS，IS-ISV6；支持等价路由，策略路由；支持VRRP/VRRPv3；高可靠性支持端口聚合，支持链路跨板聚合，两台同型号设备支持跨设备端口聚合；QoS支持ACL支持支持SP/WRR/SP+WRR队列调度、支持IEEE802.1p/DSCP优先级；支持L2-L4包过滤，支持标准和扩展ACL，支持出入方向的ACL，支持VLAN的ACL；IPv6支持IPv4/IPv6双协议栈、Native原生，支持NDSnooping；管理维护设备能直接被学院现有iMC网管软件统一管理、软件升级、配置的统一下发，方便用户统一管理和维护；支持SNMP，支持RMON；支持通过命令行、Web、图形化配置软件等方式进行配置和管理；4.3.安全交换机技术指标功能指标技术要求产品性能交换容量≥590Gbps，整机转发性能≥220Mpps。端口要求整机可用端口数≥28，其中千兆电口≥24，万兆光口≥4。模块要求每台配备2块原厂万兆单模模块。MAC地址用户数要求设备单端口支持的MAC地址用户数≥4k路由协议支持静态路由、RIP、OSPF。工作温度为保障设备环境适应能力，要求设备支持-10℃-55℃宽温工作。风扇为保障设备稳定性，要求采用无风扇设计。认证及安全特性支持识别终端接入IP、MAC、端口等信息，并关联用户身份。支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散。支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为。支持“肉鸡”源主机的溯源及阻断。支持IP仿冒、MAC仿冒溯源与阻断。支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络。若交换机本身不具备以上功能，需配置具备相应功能的客户端软件，数量不少于交换机端口数网络管理支持中文管理界面、WEB管理接口、SNMPv1/v2/v34.4.安全交换机控制平台技术指标功能指标技术要求拓扑管理要求支持通过图形界面方式规划网络拓扑。设备管理要求支持网络、安全设备统一管理和在线升级，实现设备资源的集中化管理。支持对安全设备、网络交换等网络通信设备的运行情况进行监控；监控指标应包含设备状态、Ping状态、CPU使用率、内存使用情况、网络流量等。要求提供对全网设备告警的实时监控和统一浏览。提供多种提醒方式，如界面上的告警实时提醒、告警音响提示、短信告警、邮件告警等。资源编排要求支持基于用户以及用户组进行网络资源编排，实现用户以及用户组和网络属性VLAN、IP网段、IP地址的绑定。简化底层网络规划。资产发现可自动发现网络中的IP摄像头、打印机、一体机等设备终端并提供保护，可识别IP、MAC、接入位置、接入端口等信息。要求可根据事先导入系统的设备网各类哑终端MAC地址列表，实现哑终端的自动化上线，自动完成对接入层设备、汇聚层设备的配置下发，实现专网隔离、配置随行效果。认证管理要求支持定制页面包括认证(或者注册)页面和处理结果页面。要求支持关联接入策略和接入场景，用户组中的用户在不同的场景下应用相同的接入策略，并可基于时间段进行设置。账户管理要求支持帐号的增改查，账号可批量开户、导入导出和注销;支持将用户的分组管理，不同的用户分组可以由不同的管理员管理。认证溯源根据用户IP、Radius账号的上网记录等信息反查出用户IP在指定时间段内的Radius账号，如果同时存在相应的LDAP用户信息，可根据Radius账号查询出真实用户名信息。接入认证提供一次接入，多次使用的无感知认证，只需要输入一次用户名/密码，后续接入无需再输入用户名/密码。漫游认证要求支持漫游认证，可对漫游用户在线查看和接入明细日志查询;无需终端用户输入用户名和密码。安全管理支持对用户的业务异常行为、连接数异常行为等进行实时阻断及告警。要求提供强大的“黑名单”管理，可以将恶意猜测密码的访客加入黑名单，并可按MAC、IP地址跟踪非法行为的来源。安全特性支持识别终端类型、IP、MAC、接入端口等信息，并限制单端口下接入终端数量。支持基于用户设定新建速率阈值并进行监控，支持对TCP、UDP、ICMP等协议下报文速率的阈值设置，并可根据网络需求自定义防护级别。支持防ARP欺骗、防ARP广播攻击。支持对病毒的网络层传播行为进行溯源及阻断，防止内网病毒扩散。支持防IP扫描、防UDP端口扫描、防TCP端口扫描等异常行为。支持“肉鸡”源主机的溯源及阻断。支持IP仿冒、MAC仿冒溯源与阻断。支持识别IPC等哑终端设备类型，并支持开启终端安全功能，只允许特定类型的设备接入网络。以上功能要求在接入层实现，抑制内网病毒传播、非法接入、内网攻击和黑客入侵等安全事件。功能授权设备管理授权数≥50。日志报表支持安全日志基于时间、事件、攻击源/目的IP进行查询和报表导出功能。支持安全日志多维度分析功能，基于端口、源IP、目的IP、TOP频率等。运维管理支持提取到的主机与设备时间进行同步；时间同步后设备时间将变更为统一网管运维系统的主机时间。对所管理的设备的配置进行备份、恢复及清除设备配置。支持系统日志、操作日志、安全日志收集功能，保证日志不少于180天的记录和查询。5.kvm切换器技术指标功能指标技术要求客户端连接数量客户端可连接数量≥2控制端连接数量控制端可连接数量≥1控制端接口要求键盘：USBTypeA母头接口≥1显示器：HDMITypeA母头接口≥1鼠标：USBTypeA母头接口≥1扬声器：MiniStereoJack母头接口≥1麦克风：MiniStereoJack母头接口≥1客户端接口要求键盘：USBTypeA公头接口≥2显示器：HDMITypeA公头接口≥2鼠标：USBTypeA公头接口≥2扬声器：MiniStereoPlug公头接口≥2麦克风：MiniStereoPlug公头接口≥2切换器功能要求支持通过外接式切换按键、热键及USB鼠标切换等功能要求支持多平台-Windows，Linux，Mac支持一组配备HDMI显示器的控制端管理两台HDMI电脑或设备支持音频-具备重低频响应能力，可支持2.1立体环绕声道系统兼容LCD宽显示器，视频分辨率支持1080P；1920*1200支持电源开启侦测，若其中一台电脑电源关闭，支持自动切换至另一台电源开启的电脑支持游戏和多媒体键盘支持多功能的无线键盘和鼠标其他要求每套含DHMI转VGA接口1个6.管理软件授权技术指标功能指标技术要求扩容升级要求本次扩容配置IMC智能管理中心无线AP管理License≥100个设备管理授权，扩容许可实现与现有管理平台许可兼容并无缝结合，扩容后共计250个管理授权能无缝使用在机房中网管平台IMC网管平台中。7.安全态势感知平台机技术指标功能指标技术要求平台要求网络接口：配置4个千兆电口，1个通用扩展槽，可扩展4个千兆SFP接口和2个万兆SFP+接口；双电源；国产品牌，标准2U机架式设备，存储包含数据盘和系统盘。平台技术要求全旁路部署，不影响客户现有网络架构，以镜像的方式接收网络中的流量；多场景适应：云、数据中心、总部、分支机构多环境下安全可检测、分析、响应；数据源：支持从流量探针、终端、第三方网络设备（通过标准syslog协议输出）处收集流量和日志数据；数据格式：支持syslog、sysmon、netflow和metadata格式的数据；综合安全态势大屏：支持威胁攻击分布地图、综合评分、热点事件、区域排行、威胁事件态势、最新威胁事件大屏模块；具备服务器安全态势大屏、终端安全态势大屏，分别支持服务器、终端安全状态分布、风险服务器TOP5、威胁事件TOP5、一周风险趋势、威胁事件排名大屏模块；支持威胁事件态势大屏，支持事件、威胁事件统计、热点威胁事件、最新威胁信息、一周风险趋势、威胁事件历史排名大屏模块；安全总览功能支持风险终端/终端总数、风险服务器/服务器总数、已发现事件，已解决事件、未解决事件的统计和展示；支持全网风险状况综合分析，一周风险状况对比；支持一周TOP5热点威胁事件统计展示，支持威胁事件统计和地图分布展示。服务器/终端状态监控功能支持一周内按照严重、高危、中危、低危风险等级，统计不同风险等级的服务器/终端数量，支持一周内产生风险最严重的服务器/终端TOP5统计。具备威胁事件监控和硬件状态监控，可支持CPU、内存和硬盘使用率的实时监控，支持探针状态统计，包括探针总数、故障探针数和正常探针数。具备威胁分析功能，实现威胁事件统计分析，包括攻击阶段、类型、描述信息、处置建议、威胁信息和进程信息，同时可实现对威胁事件和相关威胁事件进行标记处理，包括已解决或误报，同时可实现多条件组合查询威胁事件，包括名称、类型、级别、IP地址、状态等。具备基于服务器/终端的威胁分析，可实现服务器/终端的统计分析，包括标签、威胁事件、严重级别等，可针对某一威胁服务器/终端，直接创建风险处置工单，同时可实现服务器/终端危害报告，评估主机目前的风险危害，不同攻击阶段威胁事件可视化并提供处置建议以及通过透视镜实现服务器/终端威胁关系、攻击方向、影响范围可视化。具备威胁业务的监控统计，可按区域、时间、名称、级别、风险标签进行统计筛选；支持威胁业务详细信息统计，包括部署服务器、部署区域、业务描述、危害报告和威胁事件。具备syslog日志、netflow日志和sysmon日志的接收存储，支持metadata元数据接收存储，支持日志信息统计，包括syslog、netflow、metadata和sysmon日志的总体数量和类型统计。支持资产管理功能，包括区域管理、服务器管理、终端管理和业务管理。具备威胁检测规则管理，包括预定义威胁规则和自定义规则。报表报告功能，可实现报表内容的在线查看，支持日报、周报、月报以及立即生成四种报表的生成时间设置以及随时开关报表任务以执行报表计划，报表模板丰富，支持综合安全风险报告、终端安全风险报告和服务器安全风险报告等报告模板。系统基本信息如硬件平台、软件版本、规则库、地理库、威胁情报库等信息的展示，支持对系统版本进行离线升级。权限设置功能，支持系统用户的添加、修改和删除，支持管理员、操作员和日志审计员三权分立。邮件服务器管理功能，可实现对邮件服务器、账号及收件人的设置。对系统日志的管理，可实现对系统本身的事件日志和操作日志的记录，支持系统日志最大保存时间设置。管理功能，支持对接入sensor设备的编辑、删除和基本信息监控（IP、序列号、硬件型号）以及状态信息的监控（在线状态，实时流量、CPU利用率、磁盘利用率）。8.安全探针技术指标功能指标技术要求探针基本要求网络接口：配置6个千兆电口，1个通用扩展槽；整机网络吞吐量≥2Gbps；探针技术旁路部署模式，支持对网络镜像流量的采集和初步分析；解析多种协议流量：TCP、ICMP、HTTP、DNS、SSDP、SMB、SSH、FTP、IRC、IMAP、TELNET、SMTP、POP、MYSQL、LDAP、NETBIOS等多种协议；网络管理功能，可进行路由配置；时间同步功能，支持NTP时间同步协议；登录验证失败的账户保护与锁定机制；可通过平台实时监控设备的CPU、内存、存储空间的使用情况；数据传输功能可实现在网络不同位置部署的探针数据统一发送到安全威胁感知系统平台；对设备进行离线升级；日志模块技术要求独立的日志模块，提供一键导入式安装模板，部署简单，部署环境要求：支持VmwareWorkStation、EXSI、KVM等虚拟化环境安装；能够有效记录接入用户的网络日志和安全日志，支持日志全文检索，对收集到的多台设备日志进行全局的统一查询。支持查询条件记忆功能，可以对常用的查询条件生成快捷查询标签，自动的记录最常使用的查询条件，实现便捷检索，为用户提供了丰富便捷的日志查询功能。支持日志溯源，当发现安全事件时可以快速有效的进行日志分析处理，满足监管要求。支持报表管理，内置多种报表模板，支持自定义报表，支持HTML，PDF和WORD格式报表文件输出。其他要求为保证智能安全运营系统正常运行，流量探针必须与本次采购安全态势感知平台设备同一品牌并进行对接，能检测内网数据流量。9.出口防火墙技术指标功能指标技术要求接口数量设备高度≤2U，≥4个千兆电口（含一对Bypass接口），4个SFP光口，≥2个SFP+接口，含原厂万兆模块。扩展槽位4个，每个接口可划分到不同安全域实现各接口间的安全隔离，独立的HA和管理接口，1个USB接口，1个console接口。硬件高可靠支持热插拔双冗余电源及热插拔风扇。国产品牌，防雷击浪涌等级三级以上，必须通过国家无线电监测中心检测中心浪涌（冲击）抗扰度（4KV）测试项目。设备性能最大吞吐量≥16Gbps，防病毒吞吐量≥3.5Gbps，IPS吞吐量≥5Gbps，IPSECVPN≥8Gbps，最大并发连接数≥600万，每秒新建连接≥20万。NAT功能支持NAT扩展技术，突破传统单个公网IP地址64512个端口的瓶颈达到更大值。支持NAT地址可用性探测，支持NAT公网地址池中IP有效性检测，避免因NAT地址无法使用导致业务中断。IPv6功能支持DHCPv6，静态路由、策略路由、RIPng、OSPFv3等IPv6协议。支持隧道、DNS64/NAT64等多种过渡技术。支持IPv6应用识别，访问控制，IPS攻击防护，AV防病毒。支持IPv6用户的流量，会话，新建，应用监控统计集。支持IPv6日志存储及标准syslogserver。抗DDoS攻击支持抵御所列所有攻击类型，包括：DNSQueryFlood、SYNFlood、UDPFlood、ICMPFlood等，动作支持记录、阻断两种模式。ARP防护欺骗为了防御ARP攻击和ARP病毒，支持免费ARP广播及ARP客户端认证。策略运维支持防火墙策略命中数统计和策略的冗余性检查功能,便于管理员维护防火墙策略。支持策略助手功能，聚合流量并生成细化的策略规则，辅助用户更快速、更准确和更完整的配置安全策略。国家地理威胁信息库支持基于国家地理位置设置安全策略，内置国家地理威胁信息库。应用协议智能识别支持对3000+种应用的识别和控制。支持应用过滤器便于配置和维护，至少支持6个维度进行过滤，包括：名称、类别、子类、应用技术、风险界别、特性。IPS入侵防御可以保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、木马后门、暴力破解。具备6000种以上攻击特征库规则列表，至少支持基于协议类型、操作系统、攻击类型、流行程度、严重程度、特征ID等方式的查询，特征库支持网络实时更新。支持实时攻击源阻断、IP屏蔽、攻击事件记录。支持SQL注入、XSS防护，支持HTTP头域中的URL、Cookie、Referer、POST检查点配置防护策略。支持外链检查防护，支持自定义外链特性，类型支持HTTP、HTTPS、FTP。AV防病毒内置病毒特征库，采用知名厂商的病毒特征库。含病毒库升级。支持压缩病毒文件的扫描，超过200万的病毒特征库。病毒特征库为独立文件，支持网络实时自动更新和手动更新模式。检测到病毒扫描和恶意网站时，至少支持填充、重置连接、只记录日志三种处理方式。管理功能支持通过云端SaaS管理平台为用户提供便捷、高质量以及低成本的增值安全服务，要求通过手机APP能够实时监控防火墙等设备的状态、网络流量、威胁等信息，及时获得告警，并提供丰富的报表和日志托管能力。产品支持全功能CLI（SSH、TELNET、CONSOLE等方式）命令配置，以方便快速进行脚本操作和故障调试，且CLI配置必须支持中文输入，支持通过CLI配置接口、路由、安全策略等功能模块。安全管理模块支持包括设备管理、策略管理、安全监控、统计报表等功能，独立软件管理模块，支持VmwareWorkStation、EXSI等虚拟化环境安装部署，支持HTTP/HTTPS/SSH登录方式管理，支持本地和radius账户登录，具体功能描述如下：设备管理支持通过IP/域名的方式从设备主动注册防火墙设备。支持设备主机名称、设备序列号、管理IP、设备运行时间、接口状态、并发连接、新建连接以及包转发率等相关信息显示。配置文件自动收集，支持按照天、周、月自动收集设备上的配置。支持对管理的防火墙进行软件版本批量升级，支持对APP、AV、IPS特征库进行批量升级。策略管理支持对设备策略规则的统一集中管理，可以管理所有设备的策略规则，包括查看、编辑、删除设备本身的策略规则，创建共享策略规则并集中下发等。支持安全策略冗余检测和无用的对象检测,策略利用率、策略操作审计记录。安全监控支持实时的流量监控，并在客户端通过饼状图或者柱状图直观显示。支持指定接口TOP10IP流量查看，支持指定IP的TOP10应用的流量查看。支持实时的攻击情况监控，支持饼状图或者柱状图直观显示。统计报表提供直观、丰富的统计报表，通过对设备信息、网络访问和用户行为进行综合分析，为用户呈现全方位、多角度的统计数据和图表。支持按照天、周、月、季等周期生成周期性统计报表，统计粒度可达到分钟、小时和天，并能够通过邮件发送给指定人员。支持自定义报表任务和系统的预定义报表任务。10.数据库审计技术指标功能指标技术要求硬件规格网络接口：配置≥4个千兆电口，USB2.0接口≥2个，RJ45串口≥1个，HA口≥1个，MGT口≥1个，扩展槽位≥2个；支持≥4路审计监听功能；国产品牌，标准2U机架一体化设备，双交流电源。性能要求采用多核多平台并行操作系统，SQL处理能力≥40000条/秒。采用海量日志存储及高速检索技术，日志存储能力≥50亿条。实配不少于50个数据库服务器或实例审计。支持IPv6网络环境的部署。部署方式支持透明部署、代理部署模式、旁路部署方式，支持系统危险链路旁路阻断功能和危险链接串联阻断功能。数据库兼容性支持Oracle、SQLserver、MySQL、DB2、Sybase、Informix、Postgresql、Teradata、Cache、达梦、南大通用、人大金仓、神通、浪潮KDB、湖南上容、MongoDB、Hive、Hana、HWMPP、HighGo等20种主流数据库防护和审计。数据库审计数据库访问记录应至少包括发生时间、业务用户名、操作终端主机名及IP地址、终端工具名称、服务器端主机名及IP地址、数据库名、表名、SQL语句、响应时间、返回结果等关键信息。支持对SQL语句执行结果（成功/失败）、SQL语句执行时间、SQL语句执行异常等数据库操作响应信息的审计。支持时间、IP地址、用户名、终端名的黑白名单策略，将已知可信用户、可信时间之外的操作识别为高风险操作。支持定义事件类型，每种事件类型可以对应多个事件策略，不同策略命中的事件可以有高、中、低等多个风险级别支持定义所有SQL的相应威胁程度，至少包括高、中、低、提醒等告警级别。能够自动记录和分析SQL语句并快速制定安全策略，包括：将SQL语句归纳为不同的集群。系统提供白名单规则策略，系统提供黑名单规则策略，系统提供正则表达式规则策略，系统提供关键字表达式规则策略，系统提供例外规则策略。对数据库客户端运行过程中自动产生的SQL语句的过滤，减少不必要的审计记录。基于TDS，TNS等数据库协议还原数据库操作语句，而不是基于文本识别还原数据库语句数据库旁路审计模式支持主备环境镜像，聚合接口镜像。数据库审计模式支持Oracle集群环境。审计策略与规则设备必须自带默认审计策略，支持用户自定义策略和规则，系统必须支持配置操作行为的黑名单、白名单，方便用户灵活配置审计规则。支持以操作类型、时间、IP地址、用户名、主机名、终端名、数据库操作类型、数据库表、影响的行、字符串、认证结果、响应时间、关键字、敏感数据、等作为事件识别规则及审计规则。审计告警内置自动告警设置，允许用户设定威胁自动告警，告警必须提供级别设定，至少提供致命、高风险、中风险、低风险4种告警级别。支持SYSlOG、SNMPTRAP、邮件、FTP等多种事件告警和提示方式。白名单设置支持对于符合条件的SQL语句直接放行，不进行记录功能。支持时间、IP地址、用户名、终端名的白名单策略，将已知可信用户、可信时间之外的操作识别为高风险操作。检索支持通过IP地址、用户名、操作类型、关键词、时间、策略名称、操作来源名称、风险级别、事件类型等基本条件查询审计事件。支持将审计日志的敏感字段进行模糊化处理，防止敏感数据泄露。支持SQL关键字翻译功能，支持将审计记录中SQL语句关键字翻译成中文，便于非专业人员阅读。10亿条日志的任意关键字组合（包括通配符）检索时间<10分钟。提供对风险和危害访问的分析，包括：高危操作分析和追踪、大规模数据泄露分析和追踪、批量数据篡改分析和追踪、SQL注入行为分析和追踪。审计日志管理支持按日志属性、日志类型、时间范围进行数据备份，自动与手动两种备份归档方式。支持FTP将数据备份到其他存储上，以备本机硬盘空间不够的情况下，数据能够依然保存。支持还原转出去的数据，还原之后数据可在系统中查询。报表功能支持对SQL语句操作类型统计、事件类型统计、风险级别统计、流量统计，同时按在线用户、客户端IP、会话、模板数等支持在线信息统计。支持数据库分组管理，可以基于全局和单库多个维度进行统计分析。系统支持数据库的风险趋势图形化呈现。报表导出格式：WORD\PDF\Excel。支持报表预览语句分析页面SQL压力的显示功能。系统支持完全自定义报表，用户可自定义报表内容、报表条件。界面及安全管理支持基于WEB方式的远程管理方式，采用HTTPS进行安全加密的配置管理。提供管理员权限设置和分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能。系统支持设定多种不同角色的管理员、审计员，由审计员对管理员的操作进行审计记录。11.监控网核心交换机技术指标功能指标技术要求交换容量交换容量≥2.56Tbps。转发性能转发性能≥1080Mpps。硬件规格高度1U，固定接口交换机。支持双电源，4风扇框。支持前后、后前风道。整机最大功耗≤200W。端口配置40GE光接口≥6个。10GE光口/电口端口数量≥48个。支持MiniUSBConsole接口。支持40GE端口拆分为10GE端口。满足DCI互联需求,支持万兆40KM/80KM模块。模块要求每台配备4块原厂SFP-RJ45电口模块；二层功能支持基于端口、基于协议、基于MAC的VLAN。支持QinQ。支持DLDP。支持动态MAC、静态MAC和黑洞MAC表项。三层功能支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议。支持RIPng、OSPFv3、ISISv6、BGP4+等IPv6动态路由协议。支持IPv6ND、支持路径MTU发现。支持GRE隧道。QoS支持SP,WRR,WFQ,SP+WRR,SP+WFQ调度方式。支持L2~L4协议包过滤功能和流分类。支持流量整形。可靠性支持VRRP。支持跨设备链路聚合技术。支持STP/RSTP/MSTP。兼容PVST协议，支持跨厂商生成树互通。支持横向堆叠虚拟化技术。支持纵向堆叠。DC特性实配支持二层、三层Vxlan网关和BGPEVPN特性。支持服务链Servicechain功能，。安全性支持黑洞MAC、动态ARP检测、ARP防攻击。支持IP、MAC、端口和VLAN的组合绑定。支持端口隔离。支持AAA、Radius和TACACS认证。支持DHCPSnooping。组播支持PIM-DM、PIM-SM、MLD、IPV6PIM-DM、IPV6PIM-SM。支持组播overVXLAN支持IGMPSnooping、MLDSnooping。支持IGMP、IGMPProxy。配置和维护支持sFlow。能直接被学校现有iMC网管软件统一管理、软件升级、配置的统一下发和基准化。支持端口镜像ERSPAN。支持SNMPV1/V2/V3、Telnet、RMON、SSH。支持配置回滚。支持缓存的微突发。支持零配置技术，配置自动下发。12.潜伏探针技术指标功能指标技术要求性能要求吞吐量4.5Gbps，6个千兆电口，4个千兆光口，2个万兆光口，含2个原厂万兆模块。部署模式旁路部署，支持探针同时接入多个镜像口，每个口相互独立不影响。可行性该系统已在同等规模或大于我校规模学校使用，提供案例证明材料。学校信息及联系人。兼容性实现与我校现有已部署的态势感知平台进行无缝对接，对潜伏探针进行实时数据传输和数据分析，提供对接证明；并实现功能联动。资产发现具备主动发送少量探测报文，发现潜在的服务器（影子资产）以及学习服务器的基础信息，如：操作系统、开放的端口号等。基础检测具备报文检测引擎,可实现IP碎片重组、TCP流重组、应用层协议识别与解析等,
具备多种的入侵攻击模式或恶意URL监测模式,可完成模式匹配并生成事件,可提取URL记录和域名记录,在特征事件触发时可以基于五元组和二元组(IP对)进行原始报文的录制。监测识别规则库能够识别应用类型超过1100种，应用识别规则总数超过3000条，具备亿万级别URL识别能力。漏洞利用规则特征库数量在4000条以上，漏洞利用特征具备中文相关介绍，包括但不限于漏洞描述，漏洞名称，危险等级，影响系统，对应CVE编号，参考信息和建议的解决方案。异常检测可实现对外联行为分析、间歇会话连接分析、加密通道分析、异常域名分析、上下行流量分析等在内的多场景网络异常通信行为分析能力。深度监测可提供网络流量的会话级视图,根据网络流量的正常行为轮廓特征建立正常流量模型,判别流量是否出现异常,对原始流记录进行异常检测,可发现网络蠕虫、网络水平扫描、网络垂直扫描、IP地址扫描，端口扫描，ARP欺骗，IP协议异常报文检测和TCP协议异常报文等常见网络异常流量事件类型；支持对节点检测节点内部主机外发的异常流量进行检测
支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNSFlood等DDoS攻击行为；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解检测功能；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测。高级检测支持同步DNS审计日志，主要用于平台dnsflow分析引擎进行安全分析；同步HTTP审计日志，主要用于平台httpflow分析引擎进行安全分析；同步SMB审计日志，主要用于平台SMBflow分析引擎进行安全分析；同步SMTP审计日志主要用于平台smtpflow分析引擎进行安全分析。Web应用安全检测支持HTTP1.0/1.1，HTTPS协议的安全威胁检测；支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击检测；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等的检测；产品应具备独立的Web应用检测规则库，Web应用检测规则总数在3000条以上；支持敏感数据泄密功能检测能力，支持敏感信息自定义，支持根据文件类型和敏感关键字进行信息过滤。支持对被Web网站是否被挂黑链进行检测。违规访问检测能够针对IP，IP组，服务，端口，访问时间等策略，主动建立针对性的业务和应用访问逻辑规则，包括白名单（哪些访问逻辑是正常的）和黑名单（哪些访问逻辑肯定是异常的）两种方式。流量记录能够对网络通信行为进行还原和记录，以供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。抓包分析支持通过设备对流量进行抓包分析，可定义抓包数量、接口、IP地址、端口或自定义过滤表达式。管理功能能够支持时间同步。支持设备内置简单命令行管理窗口，便于基础运维调试。能够提供网络管理功能，可进行静态路由配置。多次登录失败将锁定账号5分钟内不得登录。可支持在线升级和离线升级，并依托安全感知平台进行统一管控。可支持用户初次登陆强制修改密码功能。可实时监控设备的CPU、内存、存储空间使用情况。能够监控监听接口的实时流量情况。集中管控与我校现有安全感知平台进行功能联动，实现对本次采购的潜伏探针统一升级，可展示当前所有接入探针的规则库日期、是否过期等，并支持禁用指定探针的升级。其他要求临安校区防火墙、行为审计等安全、网络设备与感知平台对接。部署支持旁路部署，对镜像流量进行监听。可以多台采集器同时部署于客户网络不同位置并将数据传输到同一套分析平台。13.无线控制器技术指标功能指标技术要求802.11ac可支持同时管理802.11a、802.11b、802.11g、802.11n，802.11ac、802.11ax的AP并同时开启。支持瘦AP标准IETF5415CAPWAP协议或GRE并能同时支持上述协议。转发性能转发能力≥40Gbps。可管理最大AP数单台设备最大支持管理放装AP数≥3000。可靠性无线控制器支持1+1备份和N+1备份两种机制。带宽控制必须能针对单一用户及用户群组进行上、下行带宽独立限制。CAPWAP协议AP和AC之间支持L2/L3层网络拓朴。AP可以自动发现可接入的AC。AP可以自动从AC更新软件版本。AP可以自动从AC下载配置。DHCP支持DHCPServer。安全认证MAC地址认证。802.1x认证（EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-SIM、EAP-MD5、EAP-FAST），认证用户数≥10k。Portal认证，认证用户数≥10k。支持有线无线用户使用一套管理平台。支持基于AP的用户接入控制。802.11安全和加密支持多SSID。支持隐藏SSID。支持802.11i标准(含802.1x认证和PSK认证)。支持WPA、WPA2、WPA3标准。WEP(WEP64/WEP128)。TKIP。支持WAPI。CCMP。AAA支持本地Radius认证服务器。支持本地Portal认证服务器。支持SSID和用户账号的绑定。WIDS/WIPS支持白名单。支持静态和动态黑名单。支持对无线非法设备的监测和攻击。支持无线防攻击。增值特性支持频谱分析。支持频谱导航，引导终端自动接入5G频段。支持远程空口分析。IPv6支持IPv4/IPv6双协议栈、Native原生，特别支持IPv6Portal、IPv6SAVI。三层特性支持静态路由、RIP、OSPF、BGP路由协议。AP远程接入当AC发生故障时，在线用户不掉线，可以继续访问本地资源，并且可支持AC逃生功能。管理和维护为保障现有学校设备合理升级和利用，避免重复性建设投资，要求本次采购的无线控制器和授权可对本校教室的无线网络AP（WA5340）进行集中管理。设备能直接被学院现有iMC网管软件统一管理、软件升级、配置的统一下发，方便用户统一管理和维护；配置要求1．配置冗余交流电源；2.实配千兆光口≥12个，千兆电口≥12个，万兆光口≥4个；3．配置≥128台AP管理授权许可。14.无线接入点技术指标功能指标技术要求WIFI模式可同时工作在802.11a/b/g/n/ac/acwave2/ax模式。射频模块采用三频设计，两个5GHz射频卡，一个可以灵活选择2.4GHz或5GHz，最大支持三个5GHz射频工作。MU-MIMO要求支持MU-MIMO；蓝牙功能内置蓝牙模块；天线要求采用内置智能天线设计。整机速率≥3000Mbps；接入规格整机接入用户规格1280。物联网特性≥1个10/100/1000Mbps(RJ45)，支持POEout，支持BLE、RFID、Zigbee等多种物联网链式扩展，最多支持10个物联网模块扩展。接口≥1个2500Mbps接口，≥1个10/100/1000Mbps(RJ45)支持物联网扩展。认证方式支持802.1X认证，MAC地址认证，Portal认证，PPPoE；供电支持802.3at供电；漫游同一AC内或不同AC间,不同AP下二、三层漫游；IPv6支持IPv4/IPv6双协议栈、Native原生，支持IPv6Portal、支持无线IPv6SAVI；组播转单播支持组播转单播（IPv4/IPv6）；管理和维护为方便全网运维与管理，要求AP能直接被学院现iMC网管软件统一管理、软件升级、配置的统一下发，能在管理平台